OneDrive / SharePoint で外部ユーザーとのファイル共有にワンタイムパスコードを利用する

公開:2020/09/26
更新:2020/09/28
4 min読了の目安(約2600字IDEAアイデア記事

先日、GSuite のアップデートで GSuite のアカウントを持たない外部のユーザーにも PIN コードを使って安全にファイルを共有する機能が GA されましたね。ベータリリースの頃から待っていた方も多いのではないでしょうか。
G Suite Updates Blog: Collaborate with people who are not using a Google account in Drive, Docs, Sheets, Slides, and Sites

社会に蔓延する「添付ファイル暗号化&パスワード別送」という悪き習慣(いわゆるPPAP)から脱する為にも、こういった機能はぜひ活用が進んでくれたらなと思います。
※ PPAPの何が悪いのかについては上原哲太郎さんが分かりやすい記事を書かれています
第595号コラム:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 | コラム | デジタル・フォレンジック研究会

ところで Microsoft 365 の OneDrive と SharePoint でも、特定のファイルやフォルダを外部のユーザーにワンタイムパスコード付きでリンク共有する機能が以前から備わっているのですが、観測する範囲ではあまり知られていないような気がするので本記事でご紹介します。

前提条件

そもそもですが、SharePoint 管理センターで外部共有の設定が「すべてのユーザー」あるいは「新規および既存のゲスト」になっている必要があります。

これが許容できない場合は要件を満たさないのでワンタイムパスコードでの共有は諦めることになります。
が、個人的にはこの辺りをあんまりガチガチにしても結局ユーザー側は抜け道を探してシャドーITの温床になったりするので、組織が管理するサービス上からリソースを共有させることで検知・追跡可能な状態にする方がよっぽど健全なんじゃないかと思ったりします。

共有手順

手順は OneDrive と SharePoint で共通ですが、対象のファイルあるいはフォルダを選択して「共有」メニューを選択し、リンクの設定で「特定のユーザー」を選択します。編集権限を与えるかどうかを選んだ上で適用を押します。

 
 
リンクの送信画面で送りたい相手のメールアドレスを入力します。
ここで下にある「リンクのコピー」を選んで、メールなりチャットの本文にペーストして送るのが最もポピュラーな使い方だと思いますが、「送信」を選ぶとどうなるの?という疑問の為にあえて送信ボタンを選択ルートで進めてみます。

 
 
相手側にこんな本文のメールが届きます。ちなみにメールの差出人アドレスは先ほどの操作を行ったユーザーのアカウントになります。
それでは「開く」ボタンを押してみましょう。(なお、ここで本文内の「開く」ボタンを押した後の挙動は、この前の手順で「リンクのコピー」をしてリンク共有して相手に踏ませた後の挙動と同一となります)

 
 
するとこんな感じでワンタイムパスコードが別メールで送られてくるので、それを使ってリンク先のファイルにアクセスするという流れになります。

管理者的な観点

Azure AD 上にゲストユーザーは作成されるのか?

この方法で共有を行った場合、共有した先の相手(外部ユーザー)は Azure AD 上にゲストユーザーは作成されません。Microsoft の表現では「アドホック外部受信者」という扱いになります。

ログにどう残るのか?

上記の手順で共有リンクを作成したログや、その共有リソースにどのメールアドレスがいつアクセスしたのかは、コンプライアンス管理センターで確認が可能です。
例えばリンクの作成であれば「SecureLinkCreated」、外部ユーザーがアクセスに成功した場合は「SharingInvitationAccepted」などのアクティビティで追跡が可能となっています。
詳細については下記の Docs に記載があります。
監査ログで共有監査を使用する - Microsoft 365 Compliance | Microsoft Docs

まとめ

多くの企業において GSuite か Microsoft 365 のどちらかは採用されている所が多いだろうと思われる昨今、こういった機能の活用が広まることで「添付ファイル暗号化&パスワード別送」という悪き習慣が無くなってくれたらなーと切に願います。マルウェアチェックをすり抜けてくるとかのセキュリティ的な問題もそうだけど、何より受け取る側としては面倒だしモバイルで開けないし、ということで。
 
現場からは以上です。